A crescente preponderância do e-commerce, juntamente com a diversidade de novos meios de pagamento, trazem riscos e ameaças de cibersegurança que se têm mostrado pesadas para o retalho. Identificados como o principal vetor de ataque, os colaboradores das empresas assumem a sua quota parte de responsabilização nos processos de segurança, independentemente da sua área de atuação.
São cada vez mais os exemplos de empresas lesadas por ataques informáticos, e o mais recente foi a Super Bock, que anunciou no final do mês de janeiro ter sido alvo de um ciberataque, causando perturbações nos serviços informáticos da empresa.
Numa discussão sobre o tema no Smartpayments Congress, que decorreu no ano passado, David Teixeira, IT security team manager da Natixis, lembrou também o ciberataque à plataforma de e-commerce do Continente online, lançando o debate sobre as vulnerabilidades do retalho, a transformação que lhe é exigida com a dependência do digital e as estratégias das equipas para combater estas investidas.
Colaboradores: O elo mais importante na defesa da cibersegurança
Ao identificar o principal vetor de ataque, os profissionais presentes na mesa-redonda foram unanimes: são as pessoas. Jorge Vicente, responsável de segurança e informação do Lidl, começou por referir que “todos os colaboradores da empresa são colaboradores da equipa de segurança de informação”, assumindo ser fundamental treinar os colaboradores para estarem mais despertos e cientes dos riscos e de como evitá-los. Para o efeito, a equipa de segurança de informação do Lidl adotou uma prática no ambiente do email, criando um botão com a designação ‘reportar fishing’, disponível para todos os colaboradores, reportando diretamente à equipa de segurança de informação, para analisar antecipadamente a situação.
“Todos os colaboradores da empresa são colaboradores da equipa de segurança de informação” – Jorge Vicente, responsável de segurança e informação do Lidl
A contratação exige também alguns cuidados a este nível e faz parte da estratégia de segurança da empresa. “Se contratarmos a pessoa errada ela vai ser o primeiro vetor de ataque e um vetor de ataque interno é sempre mais perigoso.”
Nuno Feijoca, country manager Portugal do Mercadão, assumiu também que a sua principal preocupação são os colaboradores, existindo, por isso, uma grande aposta da empresa na sensibilização das pessoas para estes temas, disponibilizando formação, testes e simulacros. Os acessos dos colaboradores são monitorizados e direcionados “tendo em conta o nível de informação que o colaborador tem”, salientou.
“Se contratarmos a pessoa errada ela vai ser o primeiro vetor de ataque e um vetor de ataque interno é sempre mais perigoso.”
A compliance como garantia do cumprimento de boas práticas
Não esquecendo os parceiros e o papel que assumem nas questões de cibersegurança das grandes empresas, Jorge Vicente alertou para a importância de garantir que estes assumam níveis de compliance.
“No Lidl não aceito contratos de parceiros − onde estejam sistemas informáticos envolvidos − sem uma cláusula que me permita fazer uma auditoria.” Para o responsável, nas unidades de segurança de informação deve existir um peso equilibrado entre a componente de compliance e de cibersegurança. “A componente de cibersegurança é mais técnica e implica monitorização e identificação do que está à volta; por outro lado, a compliance exige uma análise de risco, garantindo o cumprimento de boas práticas, tendo um conjunto de tarefas diárias para controlar”.
No nosso caso concreto do Lidl, a atividade de controlo advém da implementação do Information Security Management System. “Todos os dias envio um conjunto de ações para todas as equipas técnicas fazerem determinadas tarefas, com vista a garantir que estamos em conformidade com o pretendido e depois avalio essa maturidade.” Para o responsável de segurança de informação do Lidl, este equilíbrio entre parte técnica e a compliance é fundamental.
